[发明专利]入侵检测方法、检测规则生成方法、装置及系统

权利要求书

1.一种入侵检测方法，其特征在于，包括：

获取向外部网络发送的网络报文；

若所述网络报文与网络报文检测规则集合中的任一规则匹配成功，则确认发送所述网络报文的内部网络中的设备被特定类型文件入侵成功；

其中，所述网络报文检测规则集合中的规则，是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息预先生成的；

所述发送所述网络报文的内部网络中的设备被特定类型文件入侵成功，包括：特定类型文件在发送所述网络报文的内部网络的设备中被打开或者执行；

所述特定类型文件包括：恶意文件；所述特定类型外部网络地址信息包括：恶意外部网络地址信息。

2.根据权利要求1所述的入侵检测方法，其特征在于，若所述匹配成功的规则，是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的，所述确认发送所述网络报文的设备被特定类型文件入侵成功，包括：

确认发送所述网络报文的设备被具体的特定类型文件入侵成功，所述具体的特定类型文件为用于生成所述匹配成功的规则的特定类型文件。

3.根据权利要求1所述的入侵检测方法，其特征在于，在确认发送所述网络报文的设备被特定类型文件入侵成功之后，包括：

若通过获取并解析向外部网络发送的网络报文，检测到与所述匹配成功的规则包含的特定类型外部网络地址信息相关联的新地址信息，则执行下述操作：

当所述新地址信息中存在与预设白名单库不符的地址信息时，根据所述与预设白名单库不符的地址信息生成相应的网络报文检测规则，并添加到所述网络报文检测规则集合中。

4.根据权利要求3所述的入侵检测方法，其特征在于，所述网络报文检测规则集合中的规则包括：根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息生成的规则；

当所述新地址信息中存在与预设白名单库不符的地址信息时，还包括：

将所述与预设白名单库不符的地址信息添加到连接控制信息库中。

5.根据权利要求3所述的入侵检测方法，其特征在于，当所述匹配成功的规则包含的特定类型外部网络地址信息为URL地址信息时，所述新地址信息包括：从所述URL地址重定向到的新URL地址信息。

6.根据权利要求1所述的入侵检测方法，其特征在于，所述确认发送所述网络报文的设备被特定类型文件入侵成功，采用如下方式实现：

输出至少包含发送所述网络报文的设备信息的受害确认告警信息。

7.根据权利要求6所述的入侵检测方法，其特征在于，所述受害确认告警信息的内容还包含：使用所述设备的用户信息；所述用户信息包括：用户标识或者姓名。

8.根据权利要求1-7任一项所述的入侵检测方法，其特征在于，所述内部网络包括：企业网、社区网、或者校园网；所述外部网络包括：因特网。

9.一种入侵检测装置，其特征在于，包括：

向外发送报文获取单元，用于获取向外部网络发送的网络报文；

入侵成功确认单元，用于当所述网络报文与网络报文检测规则集合中的任一规则匹配成功时，确认发送所述网络报文的内部网络中的设备被特定类型文件入侵成功；

其中，所述网络报文检测规则集合中的规则，是根据从发送给内部网络的特定类型文件提取的特定类型外部网络地址信息预先生成的；

所述发送所述网络报文的内部网络中的设备被特定类型文件入侵成功，包括：特定类型文件在发送所述网络报文的内部网络的设备中被打开或者执行；

所述特定类型文件包括：恶意文件；所述特定类型外部网络地址信息包括：恶意外部网络地址信息。